支付宝|惊心动魄！一部手机丢失后有多可怕？多平台中招，支付宝紧急回应( 五 ) 银行|身份证|苏宁|第三方支付

要在支付宝上查看我绑定的银行卡信息或者绑新的卡，需要支付密码而支付密码的重置，需要短信+一张银行卡信息的验证；

一开始整个环节的起点，都需要我的身份证号码，起初我判断是通过社工库，但这一番操作分析下来，整个黑产团队的手法，基本都是利用的各个银行、支付公司的正常业务流程来处理的，那么身份证的获取大概率也不会采用社工库去查询；
部分支付APP新建账号后的实名认证，需要活体人脸验证，这个如果可以从手机自拍照或者华为云里之前存过的照片，用技术处理手段处理照片绕过人脸识别（参考2020年的新闻《利用照片伪造动画头像“骗过”支付宝人脸识别，一犯罪团伙薅支付宝“羊毛”超4万元》）

总结下来就是，需要有一个地方，通过手机号码和接收到的短信验证码，能获取到姓名、身份证号码、以及一张银行卡的卡号。感觉这几天自己都有点病态了，遇到这种盗刷的倒霉事，不愤怒、不沮丧、不慌乱，而是出奇的亢奋，几天下来没睡几个小时，不停的研究和分析，快把对方的运作模式研究出来了，把IT男追根刨底的特质发挥的淋漓尽致。
来，继续冷静分析，手头能跟犯罪分子行为步骤关联最紧密的就是电信营业厅获取的短信和电话记录了。翻出短信记录，除了第一条犯罪分子发给自己手机号的记录，紧接着就是收到两条12333社保局的短信。最开始两天都没注意到，以为是老婆公司给缴纳的社保的通知短信，但再仔细分析就发现不对劲了。一是短信发送时间可疑，非工作时间内发送社保缴纳通知是不正常的，连发两条也是不正常的，那突破点就是它了，社保系统里肯定是有身份证信息。打开四川省人社厅的网站，看到一个四川人社的APP下载二维码，下载打开APP的瞬间就明白了，“快捷登录”、“短信验证码”、“电子社保卡” 这几个关键字明晃晃的扎我眼。
发送短信验证码，登录进去。点开 “电子社保卡” ，发现需要社保密码，继续忘记社保密码，短信验证码重置社保密码，这一切刚好是两条12333的短信验证码，随后展示在眼前的内容，直接解释了上面三条疑惑。身份证信息、证件照片、社保金融卡的银行卡信息，有了这些东西，干啥都一路畅通了。
再返回去之前的支付宝绑卡流程， “无需手动输入卡号，快速绑卡” ，几年没用绑卡功能，现在都这么高端了。选一家银行点进去后，该银行下我的所有银行卡列表直接出来了，选上信用卡，绑卡。 CVV 、有效期这些都是浮云，人家就一个简单的短信验证码验证，这样的话通过支付宝查看你所有银行卡的卡号就简单了。最后我们再来总结分析一波，这条黑产链的全貌如下：
1、一线扒手特定时间选定目标：年轻人、移动支付频率高，在对方注意力分散的情况下出手，运营商营业厅下班后，失主没法当晚立即补卡，给团队预留了一晚上的作案时间；
2、拿到手机后迅速送到团队窝点，迅速完成身份证信息获取、电信服务密码、手机厂商服务登录密码修改，一下子让受害者陷入被动；
3、获取所有银行卡信息，使用技术手段绕过活体人脸识别验证，在各个平台上创建新账号，绑定受害者银行卡。 4、选好几家风控不严的支付公司，开始申请在线贷款，贷款到账后通过虚拟卡充值、购买虚拟卡以及银联转账，将钱转走。 5、保留新建的支付账号权限，如果未被发现，后期还可以继续窃取资金。在这一系列过程中，对方有几点还是让我比较服的：1、全程用的都是正常的业务操作，只是把各个机构的“弱验证”的相关业务链接起来，形成巨大的破坏；2、应该是使用了技术手段通过的人脸验证，用图片处理技术来绕过活体人脸识别验证；3、团队分工协作能力太强，在处理过程中我感觉自己已经用了最快的速度，但总还是晚一步；4、注重隐蔽，留好后路，包括删掉我云闪付上的一些卡来防止我查明细，通过新建账号的方式，如果我没发现，贸然去解冻银行卡，后续还有第二波的攻击；包括赶在我补卡后改服务密码前，设置了呼叫转移。分析完犯罪分子，再来看下整个过程中参与的机构都有什么“问题” ，实际上这个环节里的每一个点，放在对应的业务节点里都不是什么大问题，但手机丢失后，把所有这些点串起来，问题就大了：1、四川电信：我认为整个过程责任最大的就是它了，这挂失、解挂的风骚业务规则简直让我无语，既然都挂失了，不应该考虑到手机已经不在失主身上了，解挂不应该有个时间限制或者要求营业厅办理么？就算前面的过错无视了，同一个手机号码在深夜来来回回挂失解挂几十次，包括机主几次在电话中告知话务员自己正在遭受银行卡盗刷犯罪，要求停止解挂行为，话务员还是拿着业务话术来敷衍客户“对不起，我们的挂失解挂有固定的业务流程，只要对方能提供服务密码，正常就是可以解挂的” 。我们全家人就这样抱着电话陪犯罪分子熬了一夜，到最后还是造成了经济损失。对于四川电信，后续该投诉投诉。